收藏
下载资源

实训指导2.2利用数字证书保护通信

上传人:最**** 文档编号:117495321 上传时间:2019-12-05 格式:PPT 页数:27 大小:1.70MB
返回 下载 相关 举报
实训指导2.2利用数字证书保护通信_第1页
第1页 / 共27页
实训指导2.2利用数字证书保护通信_第2页
第2页 / 共27页
实训指导2.2利用数字证书保护通信_第3页
第3页 / 共27页
实训指导2.2利用数字证书保护通信_第4页
第4页 / 共27页
实训指导2.2利用数字证书保护通信_第5页
第5页 / 共27页
点击查看更多>>
资源描述

《实训指导2.2利用数字证书保护通信》由会员分享,可在线阅读,更多相关《实训指导2.2利用数字证书保护通信(27页珍藏版)》请在金锄头文库上搜索。

1、专专 业业 务务 实实 学 以 致 用 计算机网络安全技术与实施计算机网络安全技术与实施 学习情境2:实训任务2.2 利用利用CACA数字证书保护通信数字证书保护通信 专专 业业 务务 实实 学 以 致 用 内容内容介绍介绍 任务场景及描述1 任务相关工具软件介绍 2 任务设计、规划3 任务实施及方法技巧4 任务检查与评价 5 任务总结6 专专 业业 务务 实实 学 以 致 用 任务场景及描述 专专 业业 务务 实实 学 以 致 用 任务相关工具软件介绍 uVMWare Workstation虚拟单机实现 uWindows 2003 CA组件CA服务器 uWindows 2003 IIS组件W

2、EB服务器 uIE浏览器客户端 专专 业业 务务 实实 学 以 致 用 任务相关工具软件介绍 使用两台虚拟机2003系统分别作为: uCA服务器 uIIS的WEB服务器 u物理机为IE客户 专专 业业 务务 实实 学 以 致 用 任务设计、规划 专专 业业 务务 实实 学 以 致 用 任务设计、规划 商家(商家(WEBWEB网站)网站) 客户(客户(IEIE浏览器)浏览器) CA数字证书服务器 互联网 B C A 专专 业业 务务 实实 学 以 致 用 任务设计、规划 u任务布置: u 学生可分为3人一组,学生机通过局域网互联完成实验。以下图为例 ,在A主机上安装CA服务器;在C主机上安装II

3、S并设置WEB服务;B主 机做为浏览器。 B B主机主机-IE-IE浏览器客户浏览器客户 A主机-微软CA 数字证书服务器 C C主机主机- -基于基于IISIIS的的WWWWWW服务器服务器 IP:192.168.1.2 IP:192.168.1.1 商家(商家(WEBWEB网站)网站) 客户(客户(IEIE浏览器)浏览器) 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u1、证书服务器安装与配置 u 证书服务器或称密钥服务器,是允许用户提交和获取数字证书的数据库。证书服务器 通常提供一些管理特性,使单个公司可以维护自己的安全策略-比如,只允许符合特定要 求的

4、密钥进入服务器存储。 u 公钥基础(Public Key Infrastructures-PKI) PKI包含证书服务器的证书存储功能,还 提供证书管理能力(发布, 回收,存储,获取和认证证书)。PKI的主要特性是引入了所谓 的认证权威(Certification Authority-CA),这是由人组成的实体-个人, 团体,部门, 公司或其他协会-该组织有权向计算机用户发布证书。 (CA的角色类似于国家政府颁发护 照的部门)。CA创建证书并在上面用自己的私钥进行数字签名。由于CA在创建证书过程 中的角色很重要, 因此它是PKI的核心。使用CA的公钥,想要验证证书真实性的任何人 只要校验CA的

5、数字签名就能确定证书内容的完整性和真实性(更为重要的是确认了证书持 有者的公钥和身份)。 u(注:在安装CA前要先安装IIS) 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u(1)基于Windows2003 Server 建立CA认证中心(在A主机上完成 ) u 选择开始-控制面板-添加删除程序-添加删除Windows组件: u 提示安装证书服务后不能改变计算机名了,选择是后,有四种类型 的证书颁发机构,如果本机是活动目录,则都可选择,如果不是则只有 后两项可以选择,即独立的根CA(CA 体系中最受信任的 CA。不需要 Active Directory。)和独

6、立的从属CA(标准 CA 可以给任何用户或计 算机颁发证书。必须从另一个 CA 获取 CA 证书。不需要 Active Directory。)这里选择独立的根CA。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u 接下来要求输入CA机构的一些信息。这些都是CA的真实信息,要 得到申请者的确信。 u 然后,会给出证书数据库与日志的存放位置设置,默认为 C:WINNTsystem32CertLog,系统目录下。开始复制数据,要求提 供WIN2000安装文件或光盘。放入光盘或指定好位置后就可以完成CA 服务的安装了。证书的申请要通过IIS以WEB形式完成。安装完成后

7、会在 IIS中建立两个虚拟目录CertControl和CertEnroll用于证书的申请与管理 。 现在可以选择开始-程序-管理工具-证书颁发机构,可以查看是否有证 书的申请,即待发证书,也可以对证书进行吊销等管理了。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u(2)数字证书的申请和签发步骤: u申请者向某CA申请数字证书后,下载并安装该CA的“自签名证书”或 更高级的CA向该CA签发的数字证书,验证CA身份的真实性。 u申请者的计算机随机产生一对公私密钥。 u申请者把私钥留下,把公钥和申请明文用CA的公钥加密,发送给CA 。 uCA受理证书申请并核实申请

8、者提交的信息. uCA用自己的私钥对颁发的数字证书进行数字签名,并发送给申请者 。 u经CA签名过的数字证书安装在申请方的计算机上。 u 可参见后面图所示过程 (注:CA的IP地址为192.168.1.2,则证书申请的URL为:http:/192.168.1.2/Certsrv) 专专 业业 务务 实实 学 以 致 用 CACA认证中心认证中心 商家(商家(WEBWEB网站)网站)客户(客户(IEIE浏览器)浏览器) 任任务实务实务实务实 施及方法技巧施及方法技巧 申请客户证书 验证并发放客户证书 申请服务器证书 验证并发放服务器证书 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧

9、任务实施及方法技巧 u2、商家WEB服务器申请CA证书(在C主机上完成) u(1)生成服务申请证书的文件,在IIS服务器中的WEB站点上右键属性 ,目录安全性,中选择安全通信,服务器证书,然后下一步,在出现的 下一个窗口中选择“创建一个新证书”,下一步后出现,现在准备请求, 依次选择下一步,输入证书名、密钥位数、组织信息、公用名、地理信 息、最后会生成一个请求文件名,默认为:c:certreq.txt,也可修改。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u(2)通过IE浏览器申请证书(在C主机上完成) 在商家WEB服务器的IE浏览器中输入CA服务器的URL

10、: http:/192.168.1.2/Certsrv 在出现的选择项中选择申请证书后点下一步。 u 在出现的窗口中选择高级申请,因为要申请的是WEB服务器证书。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u 下一步后,接下来选择:“使用 base64 编码的 PKCS #10 文件提交一个证书 申请,或使用 base64 编码的 PKCS #7 文件更新证书申请。”后下一步。然后选择 窗口中的浏览,如果出现提示警告,则是因为这里是一个ActiveX控件,IE默认级 别为中级,不允许运行ActiveX控件,这里选择IE右键属性,在安全中把Internet 的

11、安全级别中的ActiveX设置为启用即可。再次选择窗口中的浏览,则会出现路径 选择:c:certreq.exe找到后选择读取。如下图所示,点提交后会出现证书挂起 ,等待CA颁发。这里可通知CA服务器管理员进行信息核实后颁发证书。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u(3)CA中心颁发证书(在A主机上完成) u 这时在CA的服务器上打开,CA中心证书颁发机构。选择待定证书 ,会发现刚才的申请,右键选择所有任务中的颁发即可。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u(4)通过IE浏览器下载并保存证书(在C主机上完成

12、) u 此时商家计算机可以通过IE浏览器打开申请证书时的URL: http:/192.168.1.2/Certsrv在窗口中选择“检查挂起证书”。选择下载证书到本地 计算机。 u(5)在IIS服务WEB站点上安装此证书(在C主机上完成) u 再次进入,IIS服务器中的WEB站点上右键属性,目录安全性中选择安全通信 ,服务器证书,会发现有所变化。选择处理挂起的请求并安装证书,并找到刚才 下载的证书并安装。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u3客户IE浏览器端申请CA证书(在B主机上完成) u 此步骤可参考服务器端。基本是如下过程,区别是不用在IIS上

13、生成请求文件了: u(1)通过IE浏览器申请证书,申请时要选择WEB浏览器证书。 u(2)CA中心颁如证书。 u(3)通过IE浏览器下载并保存证书,或选择安装即可。 u如果成功安装了证书会在IE浏览器的选项中的内容下的证书中看到证书的相关信息 。 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u1、数字证书的验证过程 u(以B、C双方进行安全通信时B验证A的数字证书为例 ): u B要求C出示数字证书。 u C将自己的数字证书发送给B。 u B首先验证签发该证书的CA是否合法。 u B用CA的公钥解密A证书的数字签名,得到C证书的数字摘要。 u B用摘要算法对C

14、的证书明文制作数字摘要。 u B将两个数字摘要进行对比。如相同,则说明C的数字证书合法 。 专专 业业 务务 实实 学 以 致 用 CACA认证中心认证中心 C-C-商家(商家(WEBWEB网站)网站)B-B-客户(客户(IEIE浏览器)浏览器) 任任务实务实务实务实 施及方法技巧施及方法技巧 客户要求商家出示数字证书客户要求商家出示数字证书 商家将自己的数字证书发送给客户商家将自己的数字证书发送给客户 专专 业业 务务 实实 学 以 致 用 CACA认证中心认证中心 C-C-商家(商家(WEBWEB网站)网站) B-B-客户(客户(IEIE浏览器)浏览器) 任任务实务实务实务实 施及方法技巧

15、施及方法技巧 客户要求商家出示数字证书客户要求商家出示数字证书 商家将自己的数字证书发送给客户商家将自己的数字证书发送给客户 客户首先验证签发该证书的客户首先验证签发该证书的CACA是否合法是否合法 专专 业业 务务 实实 学 以 致 用 任务实施及方法技巧任务实施及方法技巧 u2、测试在数字证书保护下通信的安全性 u 以B访问C进行安全通信为例: u 此时在B主机的浏览器中输入:https/192.168.1.1,就可以实现 通过安全的HTTPS协议进行网站的访问了。 u 此时可以利用Sniffer pro进行捕获分析,可以在B或C主机上完成检 查工作。 专专 业业 务务 实实 学 以 致

16、用 任务检查与评价任务检查与评价 任务检查与评价: u能够正确安装CA服务器 u能够正确在IIS的WEB服务器上申请并安装WEB服务自己的数 字证书和CA的自签名证书 u能够正确在IE浏览器中安装CA的自签名证书,以信任此CA u测试HTTPS安全通信所采用的SSL协议,端口号为443,基于 TCP协议传输 专专 业业 务务 实实 学 以 致 用 任务检查与评价任务检查与评价 任务评价:本部分内容是在PGP应用的基础上的又一个实际应用的实例 ,这个工作任务建议是由课外完成的,要求达到的目标是:能够建立CA 服务器,学会数字证书操作的整个流程,理解HTTPS安全协议。 任务2.2 知识技能要点测评表 序号测评要点具体目标测评权重 1知识理解理解数字证书的原理及工作流程20 2工具及软件使用 能正确安装配置CA服务器,为客户及服务器颁发数字证书 ,并能正确安装证书

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号